并网新能源场站电力监控系统涉网安全防护补充方案.pdf
文档页数:13文档大小:2.73MB文档格式:pdf并网新能源场站电力监控系统涉网安全防 护补充方案 1.总则 1.1为满足风电、光伏快速发展和大规模并网需要,有效治 理并网新能源场站电力监控系统涉网安全防护问题,指导公 司调控机构做好涉网安全防护技术监督,制定本方案.
1.2本方案是在《电力监控系统安全防护总体方案》《发电 厂监控系统安全防护方案》(国能安全(2015】36号)等行 业文件的基础上,补充完善了新能源场站第三方边界、终端 通信安全、安全接入区、监测应急等方面的要求,适用于并 网风电场、光伏电站,以及通过数据网络与其生产控制大区 相连接的汇集站及集控中心.
1.3方案未及内容,应遵照《中华人民共和国网络安全法》 《电力监控系统安全防护规定》《信息安全等级保护管理办 法》《电力监控系统安全防护总体方案》等国家法律法规和 行业规范执行.
2.安全分区及边界防护 2.1安全分区 2.1.1新能源场站电力监控系统原则上划分为生产控制大区 和管理信息大区.
根据业务功能可能对一次设备造成的影 响,生产控制大区可进一步划分为控制区(安全工区)和非
控制区(安全Ⅱ区),管理信息大区可进一步划分为安全Ⅲ 区和安全IV区.
生产控制大区内业务系统使用公用通信网 络、无线通信网络以及其它安全不可控网络与终端进行通信 的,应设立安全接入区.
2.1.2新能源场站电力监控系统原则上应严格遵循安全分区 的部署要求.
对于装机规模较小的场站,可在保持生产控制 大区与管理信息大区之间物理隔离的前提下,简化两个大区 内部的分区,但低安全区的系统和功能应按照高安全等级分 区的要求进行管理.
2.13不同安全分区的交换机或相当功能的网络设备,必须单 独使用,严禁通过划分VLAN的方式将不同安全分区的设备 接入同一交换机.
2.14不同分区的设备必须连接到不同的网段,严禁主机设备 通过双网卡等手段实现跨区联接.
同一安全区内部不同业务 系统进行数据交互时,应采取VLAN划分、访问控制等安全 措施,控制交互的规模和频度,禁用E-MiI、RLOGNFTP 等公共服务,控制区内禁止通用的VB服务.
2.15不同分区的设备不宜安装在同一屏柜内,确需组装在同 一屏柜的,设备及网线必须要有明显规范的分区标识.
2.2横向边界防护 2.2.1生产控制大区与管理信息大区的边界防护 生产控制大区与管理信息大区之间必须采取物理隔离 2
措施,部署经国家指定部门检测认证的电力专用横向单向隔 离装置.
信息由生产控制大区传输到管理信息大区必须经过 正向型隔离装置,信息由管理信息大区传输到生产控制大区 必须经过反向型隔离装置.
2.2.2安全I区与安全Ⅱ区之间的边界防护 生产控制大区分设安全I区与Ⅱ区的,I区与Ⅱ区之间 的数据通信应采取逻辑隔离措施,边界上应部署硬件防火墙 或功能相当的设备.
防火墙相关功能、性能必须经过国家指 定机构的认证和检测.
2.2.3安全Ⅲ区与安全IV区之间的边界防护 安全立区与安全IV区之间的边界处必须部署硬件防火 墙或功能相当的设备,防火墙的安全策略应采用白名单方 式,禁止开启与业务无关的地址和服务端口.
与生产管理无 关的办公业务或生活网络应划分到安全IV区.
2.3纵向边界防护 2.3.1新能源场站生产控制大区在调度数据网入口的纵向边 界,必须配备电力专用纵向加密认证装置,实现双向身份认 证、访问控制和数据加密.
纵向加密认证装置的隧道配置策 略应细化至IP地址和服务端口,保证与主站的数据通信均 为密通状态,并全面关闭不必要的服务和端口.
场站侧纵向 加密认证装置必须使用调控机构签发的调度数字证书,并接 入调控机构网络安全管理平台.
3
2.3.2新能源发电企业若采用汇聚站对区域内多个场站进行 集中监视时,应通过专用网络组网并在场站纵向连接处部署 电力专用纵向加密认证装置或加密认证网关.
2.3.3新能源场站要制定运行管理制度,加强纵向加密认证 装置的操作员卡(包括主卡及备卡)Ukey等身份认证工具 的使用与管理,保证调试工作结束后及时收回并妥善保管相 关卡证.
2.3.4接入调度数据网的路由器、交换机必须采取有效的安 全加固措施,关闭通用网络服务和网络边界的CSPF路由功 能,避免使用默认路由,采用安全增强的SNMPV2及以上版 本的网管协议,密码强度应满足国家规定要求,开启访问控 制列表等安全措施.
2.4其它网络边界的安全防护 2.4.1新能源场站与远程集控中心、远程监视中心、设备制 造厂商的纵向边界安全防护实施方案必须经调控机构审核, 安全设备配置策略必须经过现场验证确认安全.
2.4.2新能源发电企业远程集控中心与站端监控系统的数据 传输通道,必须在物理层面实现与其它数据网络的安全隔 离,应采用基于SDHPDH(推荐使用SDH)不同通道、不同 光波长、不同纤芯等方式的专用独立网络.
当采用EPONGPON 或光以太网络等技术时应使用独立纤芯或波长.
场站与集控 中心纵向联接处应当设置经国家指定部门检测认证的电力
专用加密认证装置或者加密认证网关,实现双向身份认证、 访问控制和数据加密.
远程集控中心监控系统严格遵守《电 力监控系统安全防护规定》及其配套文件的要求,并按照等 保三级系统进行规划、建设、运维和管理.
2.4.3新能源企业远程监视中心(具备场站数据的采集、监 视和收集功能,但不真备控制功能),原则上应遵循与远程 集控中心相同的网络和安全防护要求.
如若通过运营商专用 网络或VPN通道进行数据传输,必须在场站生产控制大区出 口处部署电力专用横向单向隔离装置(正向型),实现数据 从生产控制大区向外部的安全单向传输,禁止数据从外部向 生产控制大区传输、开展远程控制和运维业务.
2.4.4严格控制新能源场站生产控制大区与设备厂商之间的 网络连接.
确需将设备运行数据发送给设备厂商的,需在明 确数据使用范围的前提下,设立专用服务器,并经过电力专 用正向型隔离装置实现数据从生产控制大区向外部的安全 单向传输.
禁止数据从外部向生产控制大区传输、开展远程 控制和运维业务.
2.4.5网络边界部署的安防设备(防火墙、正向隔离装置、 纵向加密认证装置等)应按照最小化原则配置安全策略.
2.4.6严格保证与调控机构通信的采集服务器的独立性,严 禁将其用于给非调控机构的其他单位转发数据.
2.5就地终端接入防护 5
本文来自静守时光投稿,不代表文丁图集立场,如若转载,请注明出处:https://www.2b34.com/blog/91591.html
微信扫一扫 
